Až deset procent ročního investičního rozpočtu ukousne firmám kybernetická bezpečnost. Menší a střední firmy si ale stále dostatečně neuvědomují význam těchto investic. Na velké hráče se budou dotahovat ještě dva až tři roky, varuje ředitel pro ICT produkty a služby Vodafone Business Dalibor Lukeš. Největší rizika? Deepface i veřejné AI nástroje. Firmy často ani netuší, jaká data jim mohou přes umělou inteligenci unikat ven.

Jak se podle vás promítly evropská směrnice NIS 2 a s ní související nový český zákon o kybernetické bezpečnosti do poptávky firem po IT řešeních? Chodí za vámi firmy a ptají se, jak na novinky reagovat?

Ano, už chodí. A je to dobře, protože je důležité, abychom z bezpečnosti udělali téma, které není jenom o IT, ale týká se i vedení firem. NIS 2 nebo kybernetický zákon v našem pojetí tomu jde naproti.

V čem konkrétně?

V zákoně o kybernetické bezpečnosti už máme jasně upravenou osobní odpovědnost vedení za to, že se firmy chovají bezpečně. Dále také za to, že mají připravené scénáře, co se bude dít, když opravdu ke kybernetickému útoku dojde. V dnešní době totiž otázka nestojí, jestli k němu dojde, ale kdy. A je důležité být na to připravený.

Součástí připravenosti samozřejmě je nejen dívat se na sebe, tedy co můžu udělat já, ale i na to, co dělají mí dodavatelé. Právě toto se s novým zákonem hodně změnilo. I proto se do našich produktů snažíme promítat připravenost na otázky, jak to zajistíme. Jak zajistíme, že naše služba, kterou zákazníkovi dáváme – ať už jde o připojení, nějakou IT službu nebo cokoliv dalšího – je pod kontrolou.

Zajímají se skutečně podle vás firmy více o bezpečnost svého dodavatelského řetězce?

Zájem roste. Už se objevují zákazníci, kteří se opravdu aktivně zajímají a chtějí s námi řešit, jak máme služby zabezpečené a monitorované. Ale je to zatím pozvolné, protože si myslím, že řada firem má v tuhle chvíli starosti sama se sebou a se svou bezpečností. Na dodavatele se začnou dívat později. Čekám, že to přijde ve větším na podzim.

Proč právě na podzim?

Blíží se termín 1. listopadu, kdy končí přechodné období a nový režim povinností v oblasti kybernetické bezpečnosti začne na firmy výrazněji dopadat.

Pro telekomunikační sektor platila regulace kybernetické bezpečnosti už před loňskou účinností nového zákona o kybernetické bezpečnosti. Do jaké míry to pro vás nyní představuje základ, na kterém můžete stavět?

Máme hlavně rozsáhlé technologické zkušenosti. První věc, kterou si každá firma musí udělat, je audit činností a systémů, které mají. Jaké systémy tam běží, jaké aplikace provozují, kdo k nim přistupuje a podobně. Tohle je třeba jedna z věcí, které jsme ve Vodafone už měli z velké části hotové před účinnosti nového zákona o kybernetické bezpečnosti. Řadu firem to teď teprve čeká.

Uvědomují si podle vás manažeři českých podniků, jaká odpovědnost na ně s novými pravidly dopadá?

Začínají si to uvědomovat. Ale zaleží, jak se k nim ta informace dostane. Je paradoxní, že když za nimi přijde interní IT a řekne: „Musíme něco dělat s NIS 2 a kyberbezpečností,“ tak jim to management často hodí zpátky s tím, že je to jejich starost. Musíme proto management vzdělávat. Ale tím, jak se kyberzločin stává mnohem viditelnější agendou, tak se i k managementu informace dostávají lépe.

Kde dnes vidíte největší slabiny českých firem?

Řada z nich si ještě pořád myslí, že IT a kybernetickou bezpečnost zvládne sama. Jenže pak zjišťují, že musí nastavit kompletní proces odolnosti firmy. A to zasahuje většinu podnikových agend. A právě prolnutí do ostatních agend je podle mě věc, která ještě hodně skřípe.

Velkou chybou také je, že hlavním člověkem odpovědným za kybernetickou bezpečnost udělají šéfa IT. Tam ale odpovědnost být nemá. Má to být role bezpečnostního šéfa nebo někoho z managementu či představenstva.

Jaké náklady nová regulace v oblasti kybernetické bezpečnosti firmám přináší?

Je potřeba mít někoho, kdo se tomu věnuje. Už nemůže jít jen o práci na částečný úvazek vedle běžné agendy například vedoucího logistiky. Musí to mít na starosti někdo, kdo má minimálně část úvazku vyhrazenou na bezpečnostní agendu. U menší firmy to může být 20 %, u větší firmy několik lidí, de facto celý tým.

Pro firmy to znamená investici do personálních nákladů. Druhá věc je nastavování procesů, analýzy a podobně. Na to si většinou firmy najímají externí konzultanty nebo dočasně další lidi. To už mohou být statisíce až miliony korun. A pak ještě samozřejmě musí počítat s náklady na zavedení samotných bezpečnostních opatření.

České firmy podle zaměstnanců nenabízí dostatek AI nástrojů, ukázal průzkum Vodafone. Lidé kvůli tomu pouští firemní data do veřejných modulů AI. Nebezpečí pro firmy tím roste. Foto: Pixabay

Naplňují se tedy odhady, že firmy budou do bezpečnosti dávat 5 až 10 procent svých ročních investičních nákladů?

Ano, tento odhad se naplňuje. Není to jednoduchá agenda. Ačkoliv nejsem velký fanoušek regulací, tak si ale myslím, že zrovna regulace kybernetické bezpečnosti jde správným směrem. To nejdůležitější, co NIS 2 přináší, je řešení odolnosti firmy, a to nejen v oblasti kybernetické bezpečnosti. Nutí firmy přemýšlet i nad udržitelností byznysu a kontinuitou. Protože důležitou součástí všech procesů je otázka: Co se stane, když? Co budu dělat, když přestane fungovat logistika? A logistika může vypadnout nejen kvůli kyberútoku. V podstatě balancujeme mezi rychlým ziskem – snižuju náklady a maximalizuju zisk – a tím, že dělám něco proto, aby firma a celý ekosystém kolem ní vydržel i různé eskapády, ať už kybernetické, ekonomické nebo společenské. Firmy se na to musí připravovat, protože svět je čím dál méně predikovatelný.

Uvědomují si dnes firmy dostatečně význam investic do kyberbezpečnosti?

Pořád ne úplně dostatečně. Když se bavíme s menšími a středními firmami, tak se jich ptáme: „Dokážete si představit, co by vás stálo, kdybyste dva dny nefungovali?“ Ransomware (škodlivý software – pozn. red.) vám může zastavit firmu na několik dní nebo týdnů. Ztráta revenue je jedna věc, ale druhá je ztráta důvěryhodnosti a reputace. Velké firmy už to řeší déle a mají na co navázat. Menší a střední firmy jsou pořád na začátku.

Jak dlouho podle vás potrvá, než se menší firmy dostanou na úroveň větších?

Dva až tři roky.

Nebezpečnost kybernetických útoků v poslední době zvyšuje i využití umělé inteligence. Jak by to podle vás měly firmy ošetřit?

AI a bezpečnost má dvě roviny. Jedna je využívání AI uvnitř firmy jejími uživateli a možnost, že někdo vezme firemní data a vloží je do nějaké veřejné AI služby, kterou provozuje kdoví kdo. Tím mohou utéct informace a data. Bohužel se to děje běžně a i v průzkumech nám vychází, že asi 40 procent lidí, kteří použili AI, vložilo firemní informace do cizí umělé inteligence.

Pak je tu druhá rovina AI, a to je kyberzločin. Říkáme, že ho AI demokratizuje. S pomocí umělé inteligence je totiž možné podniknout kybernetický úrok mnohem jednodušeji než kdykoliv dřív. Dokážete vyrábět systematické útoky na člověka, které jsou dlouhodobé. Může se vám například stát, že se najednou dostanete do nějaké skupiny na WhatsAppu nebo Viberu, kde diskutují lidé, které neznáte. Mají fotky, komunikují o investování, ukazují úspěchy a nic po vás nechtějí. Můžete tam být několik měsíců, než vás to začne zajímat a skočíte na to. Všichni ti lidé bývají virtuální. AI se s vámi baví bez zásahu člověka a útočník může mít takhle rozjeté tisíce chatů a získávat od lidí informace. Efektivita kyberzločinu je kvůli tomu dnes obrovská.

Mohlo by vás zajímat

prezident velitel armáda

Když zůstaneme u zneužití firemních dat. Jak může firma efektivně zabránit tomu, aby je zaměstnanci třeba z nevědomosti nedávali všanc neprověřené umělé inteligenci?

Měla by udělat tři věci. První je nabídnout lidem správné AI nástroje. Když potřebuju generativní AI na sumarizaci dokumentů nebo tvorbu dokumentů a používám Microsoft prostředí, tak je ideální volba Microsoft Copilot. Tím mám AI integrované, bezpečné a data neopustí prostředí firmy.

Druhá věc je vzdělávání lidí. Vysvětlovat jim, o co jde a proč by neměli pouštět firemní data do jakéhokoliv nástroje na bázi umělé inteligence. Třetím důležitým opatřením jsou pak technické prostředky. Existují například nastavení v běžně používaných nástrojích, která nedovolí firemní informace ani přes schránku zkopírovat do neprověřeného webu

Poptávají dnes firmy nástroje, které brání úniku firemních dat do AI?

Zatím to řeší spíš velké organizace, protože to souvisí s klasifikací dat a jejich ochranou. Je to součást pokročilých nástrojů, které mají typicky větší organizace. Menší firmy to zatím moc neřeší.

Z vašeho nedávného průzkumu vyplynulo, že zaměstnanci nejsou spokojení s připraveností firem na AI. Co to vypovídá o českém podnikatelském prostředí?

Ono se to vlastně podporuje navzájem. Uživatelé říkají, že nástroje nemají, a my říkáme firmám, aby jim pořizovaly správné nástroje. V Česku pořád přetrvává relativně nízká penetrace firemních AI nástrojů. Management často řekne, že přece stačí ChatGPT na firemní prezentaci. On stačí, ale právě tím firmy riskují, že zaměstnanci vypustí ven citlivá firemní data.

ChatGPT tedy podle vás není vhodný nástroj pro firemní prostředí?

Když si vezmete ChatGPT, tak za tím stojí OpenAI modely, které jsou k dispozici pro firemní zákazníky v Microsoft Copilotu. V placené verzi s ochranou dat je to v pořádku. Ve chvíli, kdy vezmu interní firemní informace a vložím je do veřejného ChatGPT, tak to v pořádku není.

Dalibor Lukeš, ředitel pro ICT produkty a služby ve společnosti Vodafone Business, se už 30 let zabývá digitalizací. Vedl týmy, projekty, obchodní jednotky a firmy, řídil dodávky služeb jak ve startupech, tak nadnárodních korporacích jako Microsoft či Siemens. Foto: Alžběta Vejvodová

Kolik firem je podle vás dnes ve fázi, kdy mají AI nástroje, procesy i vyškolené zaměstnance?

Jednotky procent. Záleží na segmentu, ale nejpřipravenější je IT a možná finance. Tam už je technologický posun výrazný. Ostatní odvětví jsou většinou na začátku. Často nemají ani nástroje, natož aby někoho školili.

AI je ale od začátku regulovaná. Jak moc regulace ovlivňuje schopnost firem s novou technologií správně pracovat?

U AI se velmi rychle ukázaly nejen přednosti, ale i hrozby. Ukázalo se, že může výrazně zrychlit i kyberzločin. Proto přišla regulace. A data její význam potvrzují. V roce 2011 bylo asi 1500 kybernetických trestných činů, což bylo asi půl procenta kriminality. Loni už to bylo přes 20 tisíc případů a 12,5 procenta kriminality. Význam a dosah kybernetické kriminality enormně roste.

Co bude podle vás největší technologickou a bezpečnostní změnou v příštích pěti letech?

Budeme se mnohem víc setkávat s deepfake podvody. Známý je případ z Hongkongu, kde bylo celé zasedání managementu podvržené a účetní poslal desítky milionů korun. Deepfake přináší úplně novou perspektivu, protože už potřebujete ověřovat i to, co vidíte a slyšíte. Dál poroste množství útoků a jejich sofistikovanost díky využití umělé inteligence.  A pak přijdou kvantové počítače a postkvantová kryptografie. Už dnes se mluví o tom, že během několika let budou schopné prolomit dnešní šifrování. To znamená, že když vám dnes někdo ukradne zašifrovaná data, může si je schovat a za několik let je rozšifrovat. Už nyní se objevují útočníci, kteří data kradou a nic s nimi nedělají. Jen je archivují. Ta hrozba je tedy reálná.

Co to znamená pro firmy, které dnes investují do kyberbezpečnosti?

Čekat se nevyplatí. Rozhodně je potřeba investovat do toho, co je dnes k dispozici. Nebude to tak, že najednou všechno padne. Bude to postupný proces a bude čas se přizpůsobit.

Porostou podle vás v důsledku toho dál investice do kybernetické bezpečnosti?

Rozhodně. Minimálně během pěti let se podle mě zdvojnásobí. Bezpečnost se bude čím dál víc prolínat úplně všemi aktivitami. Stejně jako lidé řeší bezpečnost auta, budou muset řešit i bezpečnost technologií.